AntiViral Toolkit Pro Вирусная Энциклопедия

Raadioga.1000

Опасный резидентный зашифрованный вирус. При запуске программ, поиске файлов, изменении текущего каталога или диска вирус ищет в текущем каталоге .EXE-файлы и записывается в их конец. Для этого вирус перехватывает INT 21h и обрабатывает DOS-функции SetDTA, SetDrive, FindFirst, ChangeDir. Вирус не заражает несколько антивирусов (SCAN, F-PROT, TBAV, AVP, ...) в соответствии со строкой "F-SCTBAVVIVS" (по два символа на имя).

10-го марта портит CMOS и выводит текст:

HAIGUSTE RAVI KONTROLLITUD VAIKUSE PIMEDUSE JA RAADIOGA

Содержит также строки:

NiL *.EXE

Radio.2076

Неопасный резидентный полиморфик -вирус. Перехватывает INT 9, 1Ch, 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. В зависимости от своего счетчика (примерно через 6 минут после инсталляции в память) вирус выводит текст:

Радио 101-наслаждение даже при половине громкости!

При нажатии на Alt-Ctrl-Del выводит картинку:

####################################### BERZIN FANS CLUB PRESENT ## ## ## ## ###### ###### ####### ### ### ## ## ## ## ## ## ## ## # # ## ## ### ## ## ##### ## ## ## # ## ## # ## ###### ## ####### ## ## ### ## ## ## ## ## ## ## ## ## ## ###### ## ## TEL:(095)434-00-00 OR 03 #######################################

Radish, семейство

Очень опасные нерезидентные вирус. При запуске записываются вместо C:\COMMAND.COM. Меняют видео-фонт, содержат строки:


"Radish.8444": David Mutimer - OZ c:\command.com Screaming Radish [NaRQ]

"Radish.8466": c:\command.com Screaming Radish [LaME]/[NaRQ]/[DoRK]/[CHuMP]

Демонстрации вирусных эффектов:

RADISH.COM

Radyum, семейство

Нерезидентные безобидные зашифрованные вирусы, ищут .COM-файлы и записываются в их конец. Содержат строки:

radyum, the attitude adjuster, brought to you by ViRuLeNT GRaFFiTi *.COM

"Radium.503,509" содержит строку:

lythyum, the attitude adjuster, ViRuLeNT GRaFFiTi

Некоторые из "Radium" создают файлы HELLO.RAD или LITHIUM.HI!, в который записывают сообщение:

"Radium.698": radyum-b, by the attitude adjuster, brought to you by ViRuLeNT GRaFFiTi 07/31/92 Greets to Gary Watson! look for us again in the future.

"Radium.707": radyum, version 2, by the attitude adjuster, brought to you by ViRuLeNT GRaFFiTi 07/31/92 Greets to Gary Watson! look for us again in the future.

"Radium.860": radyum-c, by the attitude adjuster, brought to you by ViRuLeNT GRaFFiTi 08/18/92 6 out of 16 bytes will keep the same position and value, not too bad in my book! greets to patti hoffman, i love you!

"Radium.1072" иногда оставляет в памяти резидентную программу, которая перехватывает INT 8 и периодически выводит сообщения:

Unsuspecting user, 12 o'clock! Get ready... 'cause... THERE'S A VIRUS IN YOUR SOUP! From the guys that brought you Lythyum, Radyum, and VioLite comes The Soupy Virus, (k) 1992 VG Enterprises, 216/513/602/914/703 By The Attitude Adjuster & AccuPunk! Hurry! Hire an Anti-Virus Professional! Increase Wallet Space! ...hmmm, ya' know, I think I'll halt now... [Soupy] The Attitude Adjuster & AccuPunk, VG 08/23/92 to 12/02/92 Bad command or file name

Rael.3211

Очень опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывает себя в конец COM-файлов (кроме COMMAND.COM) при их запуске или открытии. Поражает файлы также при их поиске DOS'овскими функциями FindFirst/Next ASCII, содержит строки:

c:\dos\sys.com c:\dos\dosshell.com c:\dos\format.com c:\dos\keyb.com

и поражает эти файлы при старте. В зависимости от системного таймера записывает в файлы троянскую программу, которая при запуске уничтожает сектора дисков.

По 14-м числам уничтожает файлы после их заражения, а начиная с 12:00 выводит сообщение:

### ## ### # # # # # # # ### #### ### # # # # # # # # # # # ### #### IMPERIAL AEROSOL KID V 01/NOV/93 por RAEL

Вирус также содержит строки:

com COMMAND command RAEL-IMPERIAL AEROSOL KID VIRUS III -Buenos Aires-Argentina- ...Rael, Imperial Aerosol Kid-exits in the daylight, spraygun head... - SaTaNiC BRaIn B.B.S. 383-7480 Las 24 Horas -

Демонстрации вирусных эффектов:

RAEL.COM

RagDoll.942

Неопасный резидентный вирус. Копирует себя в EMS, перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. Под отладчиком вешает компьютер. Детектирует резидентный монитор TBAV и выводит текст:

Также содержит строку:

Rag Doll Virus by Sx (c) 1995 AeroSmith Rulze!!

Rager.1383

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых EXE-файлов. При запуске DRWEB блокирует работу своей TSR-копии. При запуске LOGIN в зависимости от системного времени расшифровывает и выводит текст и затем перезагружает компьютер:

********** Warning ! ********** Novell NetWare report : Hardware A30 error detected. Registers : AX :2134 BX :3C23 CX :1841 DX :5421 CS :2451 DS :2023 ES :538A SS :6C8B SI :46AE DI :94B4 SP :4541 BP :491C Try restart file-server,if it will not give effect, switch off your network and call trained service-people.

Press any key to restart this computer.

Вирус также содержит строки:


NetWare virus from Avenge (tm) family .

(C)Rager , Simferopol State University

Rajaat, семейство

Безобидные резидентные вирусы. Перехватывает INT 21h и поражают EXE-файлы. Содержат строку: "Rajaat".

"Rajaat.287,443" - компаньон -вирусы. При запуске .EXE-файлов создают компаньон-файлы с расширением COM.

"Rajaat.443" перехватывает также INT 28h. При вызовах INT 28h ищет и поражает .EXE-файлы.

Остальные вирусы "Rajaat" записывают себя в конец EXE-файлов при их запуске.

Rajaat.144,146

Опасные нерезидентные вирусы. Ищут .COM-файлы и записывается в их начало. Используют достаточно необычные приемы и могут испортить файлы и/или завесить систему. Содержат строку:

*Rajaat.COM

Rajaat.RTFM

Безобидный нерезидентный полиморфик -вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит строки:


Rajaat

[RTFM]

Ramesy.336

Опасный нерезидентный вирус. При запуске ищет COM-файлы и записывается в их начало. По причине ошибки портит файлы небольшой длины. Содержит строку:

[RAMESY] Coaxial Karma/94 *.COM

Randall.3072

Неопасный нерезидентный полиморфик -вирус. При запуске ищет COM- и EXE-файлы и записывается в их конец. Уничтожает файл CHKLIST.MS, содержит строки:

\DOS *.exe *.com CHKLIST.MS RANDALL FLAGG

Ranger.290

Безобидный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит строку:

RANGER

Rape, семейство

Очень опасные резидентные вирусы, перехватывают INT 21h и записываются в конец запускаемых COM-файлов. Стирают сектора дисков, затем расшифровывают и выводят текст на экран:

"Rape.500":


DataRape! v1.0

(C)1991 Zodiac

RABID, USA

"Rape.747":


DataRape! v1.1

(c)1991 Zodiac

 RABID, USA.topic Rage

Rape.483,486,575

Семейство "Rape" . Очень опасные нерезидентные зашифрованные вирусы, ищут и записываются в их COM-файлов текущего и корневого каталогов. "Rape.575" периодически расшифровывает и выводит на экран: "Pray for death - RABID '91". По 13-ым числам выводит текст:

Rage - RABID Int'nl Development Corp. By Data Disruptor - Thanks to Zodiac

и стирает сектора дисков. Также содержит тексты: "Patricia Boon", "*.COM".

По 21-м числам ежемесячно "Rape.483,486" сообщает:

486 Virus - (C)1991 RABID, InternationalBy Zodiac - RABID Priest

и также стирает дисковые сектора.

Rape.1882,2877

Семейство "Rape" . Очень опасные резидентные зашифрованные вирусы, перехватывают INT 21h, 27h и записываются в конец COM- и EXE-файлов.

"Rape.2877" по воскресеньям сообщает:

It's Sunday. Why are you working? Take the day off compliments of RABID

Содержит текст:

Patricia Boon Free Flash Force!!!

Записывает в сектора дисков послание:

------------------

DataRape! v2.2 By Zodiac and Data Disruptor


  (c) 1991 RABID

Int'nl Development

       Corp.

------------------

Greetings to The Dark Avenger, Tudor Todorov, Patricia Hoffman (Get your articles correct for a change... Maybe we should write for you...), John McAfee (Who wouldn't be where he is today if it were not for people like us...), PCM2 (Get your ass back in gear dude!) ProTurbo, MadMan, Rick Dangerous, Elrond Halfelven, The Highwayman, Optical Illusion, The (Real) Gunslinger, Patricia (SMOOCH), The GateKeeper, Sledge Hammer (Let's hope you don't get hit by this one 3 times), Delko, Paul 'Jougensen' & Mike 'Hunt' (And whoever else was there to see Chris & Cosy) the entire Bulgarian virus factory, and any others whom we may have missed... Remember: Winners don't use drugs! Someone card me a lifesign though...

(c) 1991 The RABID International Development Corp.

"Rape.1882" стирает сектора дисков, выводит на экран текст:


DataRape! v2.0

-CONFIGURABLE-

(c)1991 Zodiac

 RABID, USA

Демонстрации вирусных эффектов:

RAPE.COM

Raptor, семейство

Неопасные резидентные вирусы. "Raptor.c" заштфрован. Перехватывают INT 21h и записываются в конец EXE-файлов при их загрузке в память или открытии. По 13-м числам перехватывают также INT 1Ch и проявляют себя видео-эффектом. Если день совпадает с номером месяца (1-е января, 2-е февраля,...) вирусы расшифровывают и выводят сообщение, после чего перезагружают компьютер:

"Raptor.1800.a":

The Raptor virus version 1.5 Copyright 3.12.1993 - Hacker club Brno - Czech republic Don`t panic!! This virus doesn`t destroy data! I am most kindly virus!! I should inform you that soon comes Raptor2.0 with special sealth systems! You can be sure that Raptor2 will be totally untouchable!

"Raptor.1800.b":

The Rotpar virus 1st version Copyright 13.3.1994 - PHP students Blansko CR Did you like the red color in the background ? We didn't like it !! We changed it into blue. The texts were also stupid, so we changed them too !! Many happy returns in the next version of Rotpar. Thanks !

"Raptor.1800.c":

The Raptor virus version 1.7 Copyright 3.12.1993 - Hacker club Brno - Czech republic Don`t panic!! This virus doesn`t destroy data! I am most kindly virus!! I should inform you that soon comes Raptor2.0 with special sealth systems! You can be sure that Raptor2 will be totally untouchable!

"Raptor.1800.d":

The Raptor virus version 1.4 Copyright 3.12.1993 - Hacker club Brno - Czech republic Don`t panic!! This virus doesn`t destroy data! I am most kindly virus!! I should inform you that soon comes Raptor2.0 with special sealth systems! You can be sure that Raptor2 will be totally untouchable!

Демонстрации вирусных эффектов:

RAPTOR.COM

Rat.615

Неопасный нерезидентный вирус. Поражает COM-файлы текущего каталога. Содержит в себе текстовые строки:

Techno-Rat I. Copyright by Lord Blaise, Odessa 1991. *.* *.COM .\*.COM COM

Runtime.365

Неопасный нерезидентный вирус, ищет .COM-файлы и записывается в их конец. По пятницам периодически сообщает:

Runtime error 412

Rushhour, семейство

Очень опасные резидентные вирусы. Перехватывают INT 10h, 21h и записываются вместо файла KEYBGR.COM (если такой есть в текущем каталоге) при запуске любой программы. В зависимости от своих счетчиков проявляются "шумом" в динамике компьютера. Содержат строки:

This program is a VIRUS program. Once activated it has control over alls ystem devices and even over all storage media inserted by the user. It continually copies itself into uninfected operating systems and thus spreads uncontrolled. The fact that the virus does not destroy any user programs or erase the disk is merely due to a philanthropic trait of the author......

Russel, семейство

Резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при обращениях к ним.

"Russel.1200,1235" очень опасны, перехватывают также INT 13h и периодически блокируют запись на диск ("Russel.1200"), или пишут информацию на диск вместо чтения ("Russel.1235").

"Russel.3072" - полиморфик -вирус, уничтожает файл CHKLIST.MS, содержит строки:

CHKLIST.MS RUSSEL FARADAY

Rust.1710

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их загрузке в память. После 19-го числа ежемесячно перед заражением очередного файла в динамике раздается жужжание. Содержит текст:

(C) Dialogue, Rust. 1990

При запуске вирус освобождает участок памяти (для этого корректирует MCB-блоки), переносит туда свою TSR-копию, устанавливает вектор 21h в значение 0000:0200, а по адресу 0000:0200 записывает команду перехода (JMP FAR) на свой обработчик INT 21h. Видимо, этими действиями вирус пытается обойти некоторые резидентные антивирусные мониторы.

Ryazan.512

Резидентный безобидный зашифрованный вирус. Свою резидентную копию записывает в таблицу векторов по адресу 0000:0200, перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или открытии. Содержит текст:

Ryazan

Rycho, семейство

Неопасные вирусы, при запуске ищут EXE-файлы и записывается в их конец.

"Rycho.1024.a" и "Rycho.1536.a" нерезидентны. "Rycho.1024.b" и "Rycho.1536.b" резидентны, перехватывают INT 1Ch, 21h и ищут .EXE-файлы при запуске любой программы.

В зависимости от системного времени и даты "Rycho.1024.b" меняет шрифты символов таким образом, что символы становятся невидимыми. Вирусы "Rycho.1536" выводят сообщения:

"Rycho.1536.a": A.N.F. Walczy...Punx not dead...!!! #VIR v1.41 "Rycho.1536.b":


+----> UWAGA - wirus `ASIULA` <---+

|  Marry Christmas and Happy New  |

| Year. Ha,Ha my friends. RYCHO G.|

+---------------------------------+

Rycho.Babol.2048

Безобидный резидентный вирус. Перехватывает INT 13h, 21h и при переходе на другой диск ищет EXE-файлы и записывается в их конец. Содержит несколько процедур, которые никогда не вызываются. Содержит строки:

(C) Dj.Babol *Made in Poland *Greetings to M.Sell *Beda z ciebie ludzie ..sie smiali!*.COM -is safe! You are death*Pozdrowienia dla w.wirusowcow! *.EXE

RZ.160

Опасный резидентный вирус. При запуске копирует себя в область памяти по адресу 6000:0000 без коррекции MCB блоков - это может вызвать зависание компьютера. Затем вирус перехватывает INT 21h и записывается в начало COM-файлов при их запуске. В начале зараженных файлов содержится слово "RZ".

Rabbit.504

Опасный нерезидентный вирус. Ищет и заражает COM-файлы. Записывается в их середину: ищет в файле область нулевых байт и записывает в нее свой код. По причине ошибки портит некоторые файлы. После заражения выводит на экран имя файла.

RedCode.1513

Неопасный резидентный зашифрованный стелс -вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их закрытии. При открытии или отладке зараженных файлов вирус лечит их. 1 января выводит тексты, вызывает видео-эффект и завешивает комрьютер:

Viral RedCode Implant Today's contest between Big Butt Gasso and Himmler Fewster BIIIIIIG BUTT GASSSOOOO... WINSSSSS !!! FEWSTER BANSSSSS GASSSSOOOOOOOO !!!

Также содержит строки:

The RedCode virus by Wintermute/29A; yeah, not a kickass at all, but with a funny payload, don't you agree ? Watch the payload !

Демонстрации вирусных эффектов:

REDCODE.COM

Rash.1737

Безобидный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или закрытии. При открытии зараженных файлов лечит их. Никак не роявляется, содержит строку:

- Rash97 -

RMS.1472

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или открытии. Не заражает антивирусы: AVG, CLEAN, GUARD, NOD, SCAN, TBAV, TOOLKIT, FINDVIRU, VSAN. 1 декабря выводит текст:

Hello ! I'm RMS2 virus. I was born in Slovakia about one year ago. Don't be worry, I won't format your hdd ... :-) Press any key to continue.

Также содержит строку:

Kurt lives ... somewhere in time. Zrdavim virusovy radar

RMC.1551

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец .COM- и .EXE-файлов при их запуске или открытии. 16-го февраля выводит текст и завешивает компьютер:

# # # ## ## # # ## # ## ### # # ## # # # # # # # # # # # # # # # # # # # # # # # # # # # ### ### ## ## # # ## # ## # ### # # ### # # # # # # # # # # # # # # # # # # # # # # # # # # # # # ## # # # # # # ## # # #

Ы Ы Ы ЫЫ ЫЫЫ ЫЫЫ Ы Ы ЫЫЫ Ы Ы Ы Ы Ы Ы Ы Ы Ы Ы Ы ЫЫ Ы ЫЫ ЫЫЫ Ы Ы Ы Ы Ы Ы Ы Ы Ы Ы Ы Ы Ы Ы Ы ЫЫЫ ЫЫЫ Ы Ы Ы

THIS VIRUS WAS MADE BY RACASAN MIRCEA AND TODAY IS HIS BIRTHDAY. SO, GO AHEAD AND CELEBRATE, AND IF YOU WANT TO WRITE HIM, HERE IS HIS ADDRESS : LEODINGER STRAсE 1/11 A-4050 TRAUN ЩSTERREICH

Также содержит ID-строку:

RMC16277

Rmdc, семейство

Резидентные вирусы. Перехватывают INT 21h и записывается в конец EXE-файлов при их запуске. "Rmdc.608.b" содержит ошибку и иногда портит COM-файлы. При инициализации некоторые из этих вирусов вызывают INT 21h с AX='RM', резидентная часть вируса возвращает AX='DC'.

RNMS, семейство

Безобидные резидентные вирусы. "RMNS.651,736" зашифрованы. Трассируют и перехватывают INT 21h, затем записываются в конец COM-файлов при их запуске. Содержат строки:


"RMNS.651":  ----> - R.M.N.S. - Test Virus .COM 651 <----

"RMNS.736":  ----> - R.M.N.S. - Test Virus .COM 736 <----

RMNS.MW

Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM-файлов.

Вирус разделен на две части: Man и Woman. Алгоритм заражения разделен между обеими частями: они инсталлируют себя в память, затем часть Man перехватывает запуск файлов и вызывает часть Woman, которая заражает файл либо кодом Man, либо кодом Woman в зависимости от текущего значения таймера (при этом один и тот же файл при его повторном запуске не заражается обеими частями сразу). В результате вирус размножается только в том случае, если в памяти присутствуют обе его части.

В коде вируса содержатся строки:

"RMNS.MW.Man.297": R.M.N.S Test virus R.M.N.S MW Man "RMNS.MW.Woman.353": R.M.N.S Test virus R.M.N.S MW Woman

Robal.2048

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. Уничтожает файл CHKLIST.MS. В зависимости от текущей даты выводит сообщения:


\_/

><

/^\

UWAGA! To naprawde jest WIRUS ROBAL ver 1.1. Gratuluje infekcji.

WARNING!! Anty-virial ALERT ! System is killed ! Oh, No! It`s virus Robal Your computer is dead. Your career is over.

Демонстрации вирусных эффектов:

ROBAL.COM

Rodolf.4096

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске. При вызове функции GetDate или в зависимости от своего внутреннего счетчика выводит текст:

Hi hi ! I'm killing you !

Также содержит строки:

Rodolf virus Version 1.0 ED

Rogue, семейство

Опасные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM- и EXE-файлов, "Rogue.1807" записывается в середину EXE-файлов. Уничтожают файлы CHKLIST.*, в зависимости от текущей даты перехватывают также INT 8 и выводят сообщение:

Now you got a real virus! I'm the ROGUE ...!

Портят DBF-файлы.

"Rogue.1206" содержит зашифрованную строку:

TEDESVAMORTEQUIERODOROINIMAGINABLE 20-03-89 8:57PM

"Rogue.1807" 29 сентября выводит текст:

MS-DOS cheking MCB's. Please wait... I'am The Rogue.

Rom, семейство

Неопасные резидентные вирусы. Перехватывают INT 21h и записывается в конец COM-файлов при их запуске. При инсталляции своей TSR-копии сообщают:

"Rom.331": Drive Not Ready. "Rom.397": ROM BIOS not compatible.

и возвращаются в DOS без запуска программы-носителя. При заражении файла "Rom.397" переименовывает его в "WHY_ME", затем поражает файл и переименовывает обратно в первоначальное имя.

Romania.856

Безобидный резидентный вирус. Перехватывает INT 13h, 28h и при вызовах INT 28h ищет .COM-файлы и записывается в их конец. Содержит строки:

COMMAND ROMANIA

Roohi.2048

Неопасный резидентный вирус. Остается резидентным только под DOS 5.0 или выше, в противном сучае выводит сообщение:

Incorrect DOS version

и выходит в DOS.

Перехватывает INT 21h и обрабатывает DOS-функцию ChDir (смена каталога). При вызове жэтой функции вирус ищет EXE-файллы (кроме SCAN.EXE, CLEAN.EXE, FINDVIRU.EXE) и записывается в их середину между EXE-заголовком и основным телом файа.

По 13-м числам выводит сообщение и завешивает компьютер:

Roohi v2.0 This is Power of Iran - 1995 Roohi Virus Found, By Seyed Roohollah Marashi

Rosebud.912

Очень опасный резидентный вирус, "родственник" вирусов "Jerusalem". Перехватывает INT 21h и записывается в конец запускаемых EXE-файлов. В зависимости от системной даты (если сумма номеров текущего дня и мксяца равны 30 - январь 29, февраль 28 и т.д.) уничтожает файлы вмето их заражения. Содержит текст:

WARNING : This Rosebud virus is simple, because it was made for interest. But Next virus will be bit more complex.

Rotor.1068

Неопасный резидентный самошифрующийся вирус. Перехватывает INT 8, 21h и записывается в конец COM- и EXE-файлов при доступе к ним. При запуске заражает файл COMMAND.COM (вирус содержит в себе строку "c:\command.com"). Если номер текущего месяца совпадает с номером дня (1-е января, 2-е февраля, ...) вирус вращает на экране символы 'l', '-', '/', '\', '|'.

Демонстрации вирусных эффектов:

ROTOR.COM

RTL.805

Опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при их запуске. Содержит ошибки и может завесить систему при заражении очередного файла. Не дает удалять файлы, при этом выводит текст:


I'm sorry, but I cant let you mercilessly slaughter

poor innocent files in their prime!




Files have a RIGHT TO LIFE too

Rubbit, семейство

Неопасные резидентные самошифрующиеся (кроме "Rubbit.681,734,1018") вирусы. Ищут адрес первоначального обработчика INT 21h в DOS, перехватывает INT 21h и записывается в конец файлов при их запуске. При заражении памяти "Rubbit.681,734,1018" копируют себя по адресу 9000:0106 без коррекции блоков памяти, это может завесить компьютер. Остальные вирусы "Rubbit" используют методы корректировки MCB-блоков или функцию KEEP прерывания INT 21h.

"Rubbit.681,734,1018" заражают только .COM-файлы, при заражении переименовывают файл в "\RUBBIT.$$$", заражают его и переименовывают назад. Остальные "Rubbit" заражают как COM-, так и EXE-файлы.

"Rubbit.3811,3839" - стелс -вирусы.

9-го сентября "Rubbit.2060,3164,3811,3839" выводят сообщения:

"Rubbit.2060":


   ##      << How do you do >>         ##

   ##  !!   Today is My Birthday   !!  ##

   $$ OH! YES! Happy Birthday To You ! $$

"Rubbit.3164":

## RuBBit Version 2.2 Written by [P.F] in Taiwan. ## ## This idea is from Dark Slayer. 1994/05/02 ##

"Rubbit.3811":

## !! RuBBit Version 2.1 !! ## ## << How do you do >> ## ## !! Today is My Birthday !! ## $$ OH! YES! Happy Birthday To You ! $$

"Rubbit.3839":

## !! RuBBit Version 2.0 !! ## ## << How do you do >> ## ## !! Today is My Birthday !! ## $$ OH! YES! Happy Birthday To You ! $$

Также содержат строки:

"Rubbit.681,734,1018": :\RUBBIT.$$$ "Rubbit.2060,3164,3811,3839": RuBBit

Демонстрации вирусных эффектов:

RUBBIT.COM

Rubix, семейство

Опасные нерезидентные зашифрованные вирусы. Записываются вместо .COM-файлов в текущем каталоге. Шифруют себя поблочно и за/расшифровывают необходимые части своего кода "на-лету". Содержат строки:

*.COM Well, this is a new overwriting virus. K00l, huh? Not really. But it encrypts different sections of itself during executioner, and that's neat. Coder: Executioner

Ruchawi.2560

Очень опасный нерезидентный вирус. При запуске ищет EXE-файлы и записывается в их конец. 14-декабря шифрует MBR винчестера и выводит сообщение:

Today is my birthday. /// Dzisiaj obchodze urodziny. Wish me all the best. /// Zycz mi wszystkiego najlepszego. Ruchawi(R)

Выводит и другие строки:

Do not turn off your machine for 5 days, becouse most important data from your HD may be lost!!! Nie wylaczaj swojego komputera przez 5 dni, bo mozesz stracic wazne dane z twardego dysku!!!

You work too much!!! Go to bed!!! Pracujesz zbyt wiele!!! Idz spac!!!

Now, you can turn off your machine. Mozesz wylaczyc komputer.

Rhubarb.215

Безобидный нерезидентный вирус. Ищет .COM-файлы и записывается в их конец. Никак не проявляется, содержит строки:

*.COM +Rhubarb v1.0+

Rider.577

Очень опасный нерезидентный самошифрующийся вирус. При запуске ищет COM-файлы и записывается в их конец. Уничтожает файлы:

C:\COMMAND.COM C:\DOS\COMMAND.COM C:\IO.SYS C:\MSDOS.SYS

Содержит строки:

The iNFiLtRAtOR Virus by The Dark Rider from Norway-93 *.COM

RiftVilly.480

Безобидный резидентный вирус. Перехватывает INT 21h и при вызовах DOS-функции ChangeDir (смена каталога) ищет .COM-файлы в текущем каталоге и записывается в их конец. Содержит строку:

Rift Villy v.3.1

Rikki, семейство

Неопасные нерезидентные вирусы. При запуске ищут .COM-файлы и записываются в их конец. При заражении файлов временно переименовывают их в Filename.COx (x=FFh), для этого не вызывают DOS-функций - правят имя файла в каталоге, пользуюсь вызовами прямого чтения/записи (INT 25h/26h).

Выводят строки:

"Rikki.839":

Demo virus #1 by Rikki Cate 21/9/90 File infected: Press key to continue

"Rikki.1787":

Demo virus #3 by Rikki Cate 21/9/90 File infected: Press key to continue

"Rikki.1970"

Demo virus #2 by Rikki Cate 21/9/90 File infected: Press key to continue

PC-cillin has been replaced by a demonstration virus. To activate the virus, reboot the computer.

PC-cillin has been replaced by a demonstration virus. This message could easily duplicate the PC-cillin start-up screen. The virus is now resident in memory in place of PC-cillin. It will emulate the PC-cillin display and command keys. It will also infect any .COM programs which are accessed by interrupt 21 hex. Press any key to continue.

Riluttanza.689

Неопасный нерезидентный вирус, ищет .COM-файлы и записывается в их конец. Содержит в себе строки текста:


E-RILUTTANZA (C) '92 by GROG - Italy







>>11/92<<

Если два первых байта зараженного файла - инструкции NOP,NOP, то вирус выводит текст:

Sebbene suo marito andasse spesso in viaggio per affari, ella odiava star sola. "Ho risolto il nostro problema", disse egli. "Ti ho comprato un San Bernardo. Si chiama Estrema Riluttanza." "Adesso, quando vado via, sai che ti lascio con Estrema Riluttanza!" Ella lo colpi' con un mestolo.

RingWorm.303

Очень опасный нерезидентный зашифрованный вирус. Ищет .COM-файлы и записывается вместо них. Содержит строку:

[ringworm]

Riot, семейство

Riot.278,279,282,392, Tower.411

Безобидные резидентные вирусы. Копируют себя в таблицу векторов прерываний и перехватывают INT 21h. Записываются в конец файлов при обращении к ним. "Riot.393" заражает только COM-файлы, "Riot.278,392" заражают COM и EXE. Вирусы семейства содержат строки:


"Riot.279,281,282": EXTASY! (c) Metal Militia / Immortal Riot

"Riot.392":         RAVAGE! (c) Metal Militia / Immortal Riot

"Riot.Tower.411" выводит текст:

Riot.355

Резидентный вирус, перехватывает INT 21h и записывается вместо запускаемых файлов. Содержит/выводит строки:

Marked-X Will we ever learn to talk with eachother? (c) Metal Militia/Immortal Riot In any country, prison is where society sends it's failures, but in this country society itself is faily Bad command or filename

Riot.426,428

Опасные нерезидентные вирусы. При запуске ищут COM-файлы и записываются в их конец. В некоторых случаях выводят сообщение: "ARBEIT MACHT FREI!" или стирают сектора дисков. Содержат также текст:

The Unforgiven / Immortal Riot Sweden 01/10/93

Riot.723,724,Face,RedMercury,Stioxyl,Uniq

Опасные нерезидентные зашифрованные вирусы. При запуске ищут СOM-файлы и записываются в их конец. Записывают в файл DOS\KEYB.COM троянскую программу, уничтожают файлы, стирают сектора дисков. Содержат строки:







"Riot.723,724":

    ImmortalRiot [BAD ATTITUDE!]

    (c) '94 The Unforgiven/Immortal Riot

    \dos \dos\keyb.com


"Riot.Stioxyl":

    [Stioxyl] (c) '94 The Unforgiven/Immortal Riot

    \DOS\EDIT.COM

"Riot.RedMercury": I hereby annex this sector as the property of IR! Red Mercury (c) '94 The Unforgiven/Immortal Riot *IR.COM c:\dos\keyb.com c:\autoexec.bat c:\config.sys c:\command.com


"Riot.Uniq":

    [UNiQ](c) 1994 Metal MilitiaImmortal Riot, Sweden

    c:\dos\keyb.com

Riot.789

Очень опасный нерезидентный вирус. Ищет .COM- и .EXE-файлы диска C: и записывается вместо них. Создает файл C:\INFERNAL.IR, куда записывает сообщение:

Infernal Demand! (c) Metal Militia / Immortal Riot Your misery is our pleasure! Your nightmare is our dream! Your hell is our paradise! Your lost is our demand! Your cry is our laugh! And your fate is ours!

Riot.1203

Неопасный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы и записывается в их конец. Иногда оставляет резидентную программу, которая перехватывает INT 08h и выводит сообщение:

Another year passed by Another tear the willows crys to change the world we ever try to make a difference before we die [PSYCHOSIS] Greets, Phalcon/Skism. (c) 93/94 The Unforgiven / Immortal Riot

Также содержит строку:

\\ Merry Xmas and a happy new year // Sweden - Snowing Again

Riot.Aladdin

Очень опасный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы и записывается в их конец. Стирает CMOS, сектора дисков, выводит сообщения:

DEBUGGING IS VERY ILLEGAL (NOT!) I am an assasin, I want to and shall kill you! I also hate Aladdin and will also kill it! I will eliminate you with the touch of just one finger Look at my revenge! Crying wont help you! I am a dangerous virus, I live! I am created by: The [HACKING HELL] !!!! Fear me! I am more powerfull than GOD! Aladdin Killer #1 Hacking Hell I-EAS Virus Creation Centre v0.19с [AK] [HH] [IE-VCC v0.19с] XXX-Rated

Riot.BadReligion

Очень опасные нерезидентные зашифрованные вирусы. При запуске ищут COM-файлы и записываются в их конец. В зависимости от текущего времени стирают сектора дисков. Содержат строки:


[Bad Religion] (c) 1994 The Unforgiven/Immortal Riot

\DOS\EDIT.COM *.com

Riot.Caffeine.366

Очень опасный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы и записывается в их конец. В зависимости от системного времени оставляет резидентную программу, которая перехватывает INT 21h и уничтожает файлы при их запуске. Вирус содержит строки:

[Caffeine] (c) 1994 The Unforgiven/Immortal Riot*.com

Riot.CarpeDiem

Очень опасный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы и записывается в их конец. В зависимости от системного таймера стирает MBR винчестера и выводит текст:

CARPE DIEM! (c) '93 - Raver/Immortal Riot

Также содержит строку:

Sweden 16/11/93*.com

Riot.CarpeDiem.1012,1033

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске или закрытии. Содержит/выводит строки:

CARPE DIEM! - SIEZE THE DAY! (c) '95 The Unforgiven/Immortal Riot Kudos to Raver, Conzouler & King_Dan! Program infected!

Riot.CarpeDiem_II

Неопасные резидентные зашифрованные вирусы. Перехватывают INT 8,9,21h и записываются в конец COM-файлов при их запуске или закрытии. При открытии зараженных файлов лечат их. Выводят тексты:

"Carpediem_II.1299,1305": CARPE_DIEM_II - FLOATING THROUGH THE VOID! "Carpediem_II.1409,1415": CALL 0910-14000 for a CURE! This virus was written by The Unforgiven/Immortal Riot

Также содержат строки:

"Carpediem_II.1299,1305": SVW: The Unforgiven/Immortal Riot Fuck Corporate Life! "Carpediem_II.1409,1415": Fuck you Ratman! It's some version of CARPE DIEM_II!

Riot.Coke.535

Неопасный нерезидентный вирус. При запуске ищет .EXE-файлы и записывается в их конец. Содержит ошибки и корректно заражает только файлы длиной около 340K. По первым числам выводит:

Love to LISA :)

Также содержит строки:


Cocaine [CoKe](c) Metal Militia/Immortal Riot

Cocaine's running thrue your vainsIt seems you have become an addict

*IR.EXE

Riot.Conjurer, Riot.Immortal

Неопасные нерезидентные вирусы. При запуске ищут .COM-файлы и записываются в их конец. Выводят тексты:

"Riot.Conjurer.270": CoNJuReR.BSC! "Riot.Conjurer.300": CoNJuReR.300! "Riot.Conjurer.433": Ajax is kampioen, Ajax blijft kampioen, er is nog geen club die daar iets aan kan doen! CoNJuReR.AJAX Rulez! [iMMoRTaL EAS] Ajax won UEFA-Cup 1995!!!


"Riot.Conjurer.Tng":     Diz mezzie iz printed by:

                         CoNJuReR.TNG (The Next Generation!)

"Riot.Conjurer.VCC.269": Test Virus #1 Hacking Hell


                         I-EAS Virus Creation Centre v0.19с

                         [T1] [HH] [IE-VCC v0.19с]

"Riot.Conjurer.VCC.408": DEBUGGING IS VERY ILLEGAL (NOT!)

                         Test Virus #2 Hacking Hell

                         I-EAS Virus Creation Centre v0.19с

                         [T2] [HH] [IE-VCC v0.19с]




"Riot.Conjurer.VCC.586": DEBUGGING IS VERY ILLEGAL (NOT!)

                         Test Virus #3 Hacking Hell






                         I-EAS Virus Creation Centre v0.19с




                         [T3] [HH] [IE-VCC v0.19с]


"Riot.Immortal.265":  iMMoRTaL.263!!

"Riot.Immortal.353":  iMMoRTaL.358!!

"Riot.Immortal.377":  iMMoRTaL.377 {{Encrypted!!}

"Riot.Immortal.510":  iMMoRTaL.510 {{Encrypted!!}

"Riot.Immortal.550":  iMMoRTaL.550!!

Riot.DDeath

Безобидный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. Содержит строку:

Digital Death - v0.90с (c) '94 Raver/Immortal Riot

Riot.Digital

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске или открытии. В зависимости от текущего времени и даты пищит динамиком компьютера или стирает CMOS. Содержит строку:

Digital Pollution (c) '94 Raver/Immortal Riot

Riot.Doom

Неопасный нерезидентный зашифрованный вирус. При запуске ищет EXE-файлы и записывается в их конец. После своей работы занимает часть системной памяти, но не перехватывает прерываний. Содержит строку:

DOOM! (c) '93 Raver/Immortal Riot

Riot.Enemy.757

Очень опасный резидентный вирус. Перехватывает INT 21h и поражает запускаемые файлы. При запуске файла FILENAME.EXE создает файл FILENAME.EXE и записывает туда свою копию. В результате .EXE-файлы при запуске будут уничтожены вирусов, а для остальных файлов вирус создаст компаньон .EXE-файлы. Вирус содержит строки:


Unknown Enemy

(c) Metal Militia/Immortal Riot

I'm hurt, machineguns firing behind my back

Never had no chance, no way to do a attack

Thisone sure is the last time i guess

Heading for a private deathrow, nothing less

Blood, quickly pumping out from the vound in the vain

Damn, this moment makes you sort of go insane

Close my eyes, had much left to see

Was my fault, but did they have to do it, gee?

Promise me, this hit you will remember

Take one of them down before winter comes in december

Why that month? Well, i like it very much

Fresh, cool air, wonders of the snow to touch


The world is wonderful, what else to say?

Just remember this shit, cause it happends every day

Riot.Eternity

Нерезидентные зашифрованные вирусы. При запуске ищут EXE-файлы и записываются в их конец. "Riot.Eternity.562,565" безобидны, "Riot.Eternity.600" в зависимости от текущего времени стирает сектора дисков. Содержат строки:


"Riot.Eternity.562,565": [ETERNITY!] (c) '93 The Unforgiven/Immortal Riot

"Riot.Eternity.599,600": Eternity_II (c) '94 The Unforgiven/Immortal Riot..

Riot.Evil

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. Содержит строки:

Our past is our future! [INVISIBLE EVIL!] (c) Metal Militia/Immortal Riot Dedicated to all the victims.. Greets to B-real!/IR It's like this and like that and like thisena It's like that and like this and like thatena It's like this.. Love to Lisa! All i ever wanted.. All i ever asked for..

Riot.Evil.811

Модификация "Riot.Evil". Очень опасен - по 31-м числам форматирует сектора дисков. Содержит строки:

!BIOHAZARD!U Found ME! BIOHAZARD VIRUS - INV. EVIL ALTER - THE WРТ$ИL! HEY HEY TO ALL A/V LAMERS!! HA! Greets to B-real!/IR Well, The WРТz is back, and he has an attitude! Quit reading the code, yes, this is a fucking virus! Catch me, Dare ya! The WРТ$ИL!!!! Are you done yet??? Fuck this, Later C:!!!

Riot.Fire.473

Неопасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит/выводит строки:

Fight Fire With Fire... *.COM Soon to fill our lungs the hot winds of death The gods are laughing, so take your last breath Immortal Riot..Death Greets me warm..

Riot.Hybris

Неопасный резидентный зашифрованный стелс-вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске или закрытии. При открытии зараженных файлов лечит их. В зависимости от своего случайного счетчика перехватывает INT 8,9,16h, проявляется видео-эффектом, выводит тексты:


THIS PROGRAM IS (C) 1995 IMMORTAL RIOT

[HYBRiS] (c) '95 =TU/IR=

Riot.Insine.1026

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается в начало или середину запускаемых или закрываемых файлов. В зависимости от текущего времени стирает сектора дисков и выводит текст:

Insane Reality.. The Unforgiven / IR..

Riot.Maria

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. По 2-м числам ежемесячно стирает сектора дисков. Иногда оставляет резидентную программу, которая перехватывает INT 08h и выводит сообщение:

Maria K lives.. Somewhere in my heart.. Somewhere in Sweden.. I might be insane.. But the society to blame.. The Unforgiven / Immortal Riot

Riot.Marked.354

Очень опасный резидентный вирус. Перехватывает INT 21h и записывается вместо запускаемых файлов. Содержит/выводит строки:

Marked-XWill we ever learn to talk with eachother? (c) Metal Militia/Immortal Riot In any country, prison is where society sends it's failures, but in this country society itself is faily Bad command or filename

Riot.Mega

Неопасный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит/выводит сообщения:


DEBUGGING IS VERY ILLEGAL (NOT!)

You computher is now infected with:

     MEGA-DESTRUCTION

   The Conjurers....

Mega Destruct Hacking Hell

I-EAS Virus Creation Centre v0.19с [MD] [HH] [IE-VCC v0.19с]

Riot.Moonlite.458

Очень опасный нерезидентный самошифрующийся вирус. При запуске ищет .COM-файлы и записывается в их конец. По понедельникам оставляет резидентную программу которая перехватывает INT 21h и уничтожает файлы при их запуске, также перехватывает INT 09h и перезагружает компьютер при нажатии на клавишу DEL. Вирус содержит/выводит строки:

Metallic Moonlite (c) Metal Militia/Immortal Riot Greetings to The Unforgiven/IR Bad command or filename

Riot.Multi

Очень опасные резидентные вирусы. Перехватывают INT 21h и записываются в конец COM-файлов при их запуске. По первым числам стирают сектора дисков. Содержат строки:

COPY ME, SO I CAN TRAVEL!!!!! Why am i so fly? ;) Mmm.. Mmm.. Mmm.. For the smell of it!!!!! MULTIMULTIMULTIMULTI MULTI-FLU v1.0 (c) 1994 Metal Militia Immortal Riot Sweden All viruswriters worldwide Рare to be gratulated!!!!! FLUFLUFLUFLU Written during SUMMERTIME!!!!! Happy happy! Joy joy! Winterkvist is. a looser!!!!! Greetings to the rest of IMMORTAL RIOT This is property of IR

Riot.Multiplex

Очень опасные нерезидентные вирусы. Ищут .COM-файлы и и записываются в их конец. По 5-м числам стирают сектора диска C:. Содержат строки:


MULTiPLEX (c) 1994 Metal Militia

Immortal Riot, Sweden

Somewhere, somehow, always :)

*.com ImRio

Riot.Overdoze

Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM-файлов. Содержат строку:

[Overdoze] (c) 1994 The Unforgiven/Immortal Riot

Riot.Psychosis.1195

Неопасный нерезидентный зашифрованный вирус. При запуске ищет .COM-файлы и записывается в их конец. Содержит строку:

\\ Merry Xmas and a happy new year // Sweden - Snowing Again

Иногда оставляет резидентную программу, которая перехватывает INT 8 и выводит тексты:

Another year passed by Another tear the willows cry to change the world we ever try to make a difference before we die [PSYCHOSIS] Greets, Phalcon/Skism. (c) 93/94 The Unforgiven / Immortal Riot

Riot.Radiation

Неопасный нерезидентный вирус. При запуске ищет EXE-файлы и записывается в их конец. Уничтожает файл CHKLIST.MS, в зависимости от текущей даты выводит текст:

[RADIATION] .oO 1995 by CoKe Oo. Your hate is my love, your lie is my truth! But love can be hate, and truth can be a lie!

Также содержит строки:

CHKLIST.MS Made in Luxembourg 1995 To MANDY, the greatest girl I know ! Thanks to Metal Militia

Riot.Salamander

Безобидные резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец COM-файлов при их запуске или закрытии. При открытии зараженных файлов вирусы лечат их. Содержат строки:


"Salamander.888": [- Salamander Four -] (c) by Blonde/IR 1995

"Salamander.940": [- Salamander Four -] (c) by Blonde in 1994

Riot.Sturm

Очень опасные нерезидентные зашифрованные вирусы. При запуске ищут EXE-файлы и записываются в их конец. В зависимости от текущей даты стирают сектора дисков. Содержат строки:

[StБrm und Drang!] (c) '94 The Unforgiven/Immortal Riot*.EXE

Riot.sUMsDos.472

Очень опасный резидентный вирус. Перехватывает INT 1Ch, 21h и записывается в начало COM-файлов при их запуске. Проверяет буфер экрана на наличие строки "sUMsDos" и стирает сектора дисков, если таковая строка обнаружена.

Riot.TTT ---------

Очень опасные ("TTT.840" неопасен) нерезидентные зашифрованные вирусы. При запуске ищут COM- или EXE-файлы (в зависимости от версии вируса) и записываются в их конец. В зависимости от текущей даты "TTT.712,1063" стирают сектора дисков. Содержат/выводят строки:

"Riot.TTT.712":

The Tea, Toasts, and Titties virus 1.00EXE You are screwed by a swedish virogen! This virus is freeware, feel free to distribute!

"Riot.TTT.840":

This virus is a direct-action infector of .com files that will search for files to infect in the current, DOS and in any directories below this. If it find an un-infected comfile it will be infected, though still work as before. The virus is freeware, and you are allowed and even encouraged to copy it to your friends The Tea, Toasts and Titties virus v1.00Made in Sweden 1994

"Riot.TTT.1063":

This is The Tea, Toasts, and Titties virus v1.1. It is very destructive and will spread to some of your com files. Please distribute as much as you want. Any damage caused by this virus is appreciated. Beware [TTTT] Live now and don't die courious! Legalize everything! Fucking is nice - don't die vir(o)gen! Bad Religion! - Alah Дlskar dig.. nДr du Дr dФd! Stoppa rasismen, krossa facismen! och dФd Жt politikerna!! Raseri.. ANARKI! Och! Дlska mig.. la-la-la.. bara MIG!.. !!

Riot.Dial.1529

Очень опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или закрытии. Проверяет первые два символа запускаемых файлов со списком:

SC TB F- SM TO FI MS VI

и при запуске таких программ либо форматирует диск, либо выводит сообщение и вешает компьютер:

Program cannot be executed. Infected with Manzon by Red-A of Immortal Riot. Reboot and remove this very virulent virus! System Halted!

Вирус также перехватывает INT 8, 9 и "трясет" экран (INT 8), или при нажатии на Alt-Ctrl-Del (INT 9) выводит сообщение:

DIAL 911 FOR RESCUE! YOU CAN'T REMOVE THIS VIRUS YOURSELF!

Вирус также содержит текст:

[Insert virus_name and your nickname at this place manually!]

Riot.IR8.1968

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или при вызове DOS-функций FindFirst/Next FCB (команда DIR). При вызове функции GetDiskSize вирус создает файл IR-DEMO.COM и записывает в этот файл программу, которая при запуске выводит текст:

THIS PROGRAM IS (C) - 1996 IMMORTAL RIOT - ALL RIGHTS RESERVED!

Вирус также содержит строки:

Immortal Riot Technologies! All Rights Reserved Not enough memory How can hell be any worse? COMEXEDIR Conzouler.dyno go BOMB 'em ALL! "SUCK MY DICK, FEMALE!" Welcome to IR Liquid Jesus! IR#8 competition-contribution by The Unforgiven/Immortal Riot -96 "I name the bitch: 2iS2H8" Girls, I Hate you all!

Демонстрации вирусных эффектов:

RIOT_IR8.COM

Rip.699

Неопасный резидентный самошифрующийся вирус. Перехватывает INT 10h, 21h и записывает себя в конец COM-файлов при их запуске. 6-го марта и 8-го сентября выводит сообщение:

RIP Patsy Cline 8th September 1932 - 6th March 1963

RIP.2314

Очень опасный резидентный вирус. При запуске ищет .COM-файлы и записывается в их конец. Затем перехватывает INT 1Ch, 20h, 21h, 27h, 2Fh и записывается в конец .COM-файлов при их запуске. В некоторых случаях стирает файлы, выводит сообщение:

RADiCAL_iNVADiNG_PARASiTE(RiP)-ViRUS, iN 94/95 BY AeMlSc, SAYZ Hi 2 U!

Также содержит строки:


*.COM

COMMAND

DELTREE /Y \ >NIL:

RipTerminator.479

Опасный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и записывается в конец COM- и в заголовок EXE-файлов при их запуске или открытии. Содержит ошибку и может завесить систему при заражении EXE-файлов. В зависимости от системного таймера выводит текст:

RIP TerminatorZ

Risin.269

Безобидный резидентный вирус. Копирует себя в таблицу векторов прерываний, перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. Содержит строку:

Mojo Risin' 1995!!!

Ritzen, семейство

Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в конец .COM- и .EXE-файлов при их запуске или открытии. Содержат строку "PAPA" и:

"Ritzen.1087,1098"

Dedicated to Ritzen, our Minister of Education and Science. We are getting sick of your budget cuts so we hope that you get sick of this virus.. (c) '93 by S.A.R. / TridenT

"Ritzen.1112"

Dedicated to Ritzen, our Minister of Education and Science. We are getting sick of your budget cuts so we hope that you get sick of this virus.. (c) '93 by S.A.R. (Students Agains Ritzen).

Rlyeh.1178

Очень опасный нерезидентный зашифрованый вирус. Ищет COM-файлы и записывается вместо них. Выводит сообщения:


+------------------------------------------------------------------------------+

|          _           |  Ph'nglui mglw'nafh Cthulhu R'lyeh wagn'nagl fhtagn.  |

|    /\___[X]___/\     |  In his house in R'lyeh dead Cthulhu waits dreaming.  |

|   /     /|\     \    |-------------------------------------------------------|

|  /  /\       /\  \   |    This virus demonstrates interrupt trapping, anti-  |

| /\\/  \|   |/  \//\  | heuristic code, EXE/COM determination, executable     |

|        || ||         | data statements, heap use, code length determination, |

|       _|| ||_        | simple (XOR) encryption, and overwriting replication. |

|------------------------------------------------------------------------------|

|  FOR DEMONSTRATIONAL AND EDUCATIONAL PURPOSES ONLY 0 NOT FOR PUBLIC RELEASE  |

+------------------------------------------------------------------------------+

ERROR: No infectable files found! ACTIVE: Infection in

RedHack.1405

Опасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в начало COM-файлов при их запуске, открытии или при обращении к ним DOS-функциями FindFirst/Next. При запуске файлов ищет в них строку "Marek Sell" и перезагружает компьютер, если такая строка найдена.

При заражении памяти перехватывает также INT 8 (таймер) и блокирует отладку - перезагружает компьютер. Содержит строку:

(c) Red Hacker, Zielona Gвra

RedLaugh.607

Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и при запуске любых файлов ищет в текущем каталоге .COM-файлы и записывается в их конец. Перед заражением каждого очередного файла переводит фон экрана в красный цвет и выводит текст:

Красный смех гуляет по стране... 01/21/96 by FDD.

Демонстрации вирусных эффектов:

REDLAUGH.COM

ReedCat.920

Безобидный нерезидентный зашифрованный вирус. При запуске ищет COM- и EXE-файлы и записывается в их конец. Содержит строку:

<< Камышовый Кот ХПИ 1992 >>

Remember, семейство

Неопасные нерезидентные вирусы. Ищут .COM-файлы и записываются в их конец. 24 апреля выводят тексты (на японском?):

"Remember.816,818":


вz------------------------------в{{

вx         [ REMEMBER ]         вx

вx                              вx

вx   б@ пм |+й+м| е-дщз+++ б@   вx

вx                              вx

вx    ||пuк|+P@б  ||пuк|пм|+    вx

вx                              вx

вx      жbж|иш|г@NеI+-й0йp      вx

вx                              вx

вx  -@ж|о+йpпржмиь|oм0и+к|пм|+  вx

вx                              вx

вu------------------------------вt

вx- Written by Jean July. (C). -вx

в|вwвwвwвwвwвwвwвwвwвwвwвwвwвwвwв}

"Remember.1283":


вz------------------------------в{{

вx       [ Remember 4.0 ]       вx

вx                              вx

вx   б@ пм |+й+м| е-дщз+++ б@   вx

вx                              вx

вx    ||пuк|+P@б  ||пuк|пм|+    вx

вx                              вx

вx      жbж|иш|г@NеI+-й0йp      вx

вx                              вx

вx  -@ж|о+йpпржмиь|oм0и+к|пм|+  вx

вx                              вx





вu------------------------------вt

вx- Written by Jean at O.V.E.L -вx


в|вwвwвwвwвwвwвwвwвwвwвwвwвwвwвwв}


         <<< Welcome >>>

=================================

 The OVEL bbs Tel is 02-927-7432

=================================

Rencodes.4206

Опасный резидентный зашифрованный компаньон -вирус. Перехватывает INT 21h и создает компаньон-файлы .COM при обращении к .EXE-файлам. В зависимости от текущей даты и времени переименовывает все файлы текущего каталога в имена FILEnnnn.nnn и записывает список переименованных файлов в файл RENCODES.BRE. Проявляется каким-то видео-эффектом, содержит строки:

COMEXE THIS IS THEVIRUS File0000.000 \RENCODES.BRE

Rescue.3774

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их начало. При заражении создает временный файл TMP.TMP. Портит сектора дисков, в зависимости от своих счетчиков портит загрузочный сектор текущего диска и выводит текст:

Rescue 911 Computer Virus

                        ----------------------------

Dear user,,

Your system is executing an illegal instruction at address 5E10:2D8F. However, this might cause you lots of problems later on. The system has got stuck , so please reboot your machine and make sure that all your programs are clean.

This error message is being broadcasted by the 911 computer VIRUS !!

Have a nice day ..

Reset.352

Неопасный резидентный вирус. Перехватывает INT 8, 21h и записывается в начало COM-файлов при обращении к ним. Через некоторое время после инсталляции в системную память перезагружает компьютер.

Reset.503

Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или открытии. По 13-м числам перехватывает также INT 1Ch и через некоторое время перезагружает компьютер.

Rest.1588

Очень опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в середину EXE-файлов при их запуске. При инсталляции своей TSR копии может вывести текст:

Abnormal program termination

В зависимости от текущей даты стирает сектора дисков и выводит текст:

Выключите ЭВМ Вам нужно отдохнуть

Retaliator

Неопасный нерезидентный самошифрующийся вирус. При запуске на диске C: ищет EXE-файлы и записывается в их конец. При запуске на любом другом диске не заражает файлы. Записывает ID-информацию во второй физический сектор диска. В некоторых случаях выводит сообщение и вызывает цикл чтения с диска:

RETALIATOR has detected resident Anti-viral software. TRASHING HARD DISK!

Retribution

Неопасный резидентный вирус, перехватывает INT 08h, 21h и записывается в начало COM-файлов при их запуске. Периодически запускает скачущий шарик (как вирус "Ping-Pong" ). Содержит тексты:

The Retribution. Creator of fear ...

Rev.4096

Опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец .COM-файлов при обращениях к ним. Использует недокументированные вызовы DOS и в результате виснет под DOS 7 (Windows95). В октябре по воскресеньям выдает текст:


These things saith he that hold TASM in his right hand and walketh

amongst the FAT tables, boot sectors, and partition tables.

He that hath a VDU, let him see what I typeth unto the users:

I have a few things against thee, because thou sufferest that whore

software security, and commit anti-virus protection.

Behold, I will cast thou unto limbo, and them that repent their

deeds shall be spared the low-level drive format.

Remember therefore how thou hast recieved and heard, and hold fast,

and repent. If therefore thou shalt not repent, I will come on thee

as a thief, and thou shalt not know what hour I will come upon thee.

                      - Revelation Alpha.

Также содержит строки:

Revenge.1127

Резидентный очень опасный вирус. Перехватывает INT 21h и записывается в конец .COM-файлов. В начале зараженных файлов расположены байты JMP xxxx, DB '777'. При некоторых условиях выводит текст:

*** 777 - Revenge Attacker V1.01 ***

и уничтожает содержимое дисков C: и D:.

Reverse, семейство

Безобидные нерезидентные вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов при обращении к ним. Содержат строку "moc.dnammoc exe.niamcn", которая является именами файлов NCMAIN.EXE и COMMAND.COM, записанными задом наперед. Вирус проверяет имена файлов перед заражением и не инфицирует файл NCMAIN.EXE. При поражении файла COMMAND.COM вирус использует алгоритм вируса "Lehigh" . Вирусы также содержат строки:

"Reverse.948": Reverse-948 i м. Created by Renata G. from Lubin City in Sept 1993

"Reverse.948.b": Red Spider Virus created by Garfield from Zielona Gora in Feb 1993

Revolt.662

Безобидный резидентный вирус. Перехватывает INT 21h и записывается в конец запускаемых EXE-файлов. Никак не проявляется. Содержит строки:

When faced with oppression, we will revolt EAT THIS TEACH!!!

Rexan, семейство

Резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в начало запускаемых .COM-файлов. "Rexan.595" никак не проявляется, содержит строку:

[ReXaN-ENC] v1.0 - (c) 1995 Black Angel. Brescia, Italy.

"Rexan.786" в зависимости от каких-то условий стирает сектора диска и выводит тексты:


Black Angel presents

 -< [ReXaN-ENC-2] >-

(c) B.A. Brescia Italy

DISK CONTROLLER FAILURE

"Rexan.903" также стирает сектора дисков. 25-го декабря выводит текст:


       -< [Hell's Party] >-

(c) 1995 Black Angel. Brescia Italy

               - + -

Be careful. Hell's Party controls your computer.

Hell's Party activates TOMORROW. Merry Christmas!

RGB.544

Безобидный нерезидентный вирус. При запуске ищет COM-файлы и записывается в их начало. Никак не проявляется. Содержит строку:

*.com SUICIDE 1.0 by RGB

RatSoft, семейство

Опасные нерезидентные вирусы. При запуске ищут .COM-файлы и записывается в их конец. Содержат большое число ошибок, в результате чего зараженные файлы часто "вешают" компьютер. Выводят сообщения:

"RatSoft.753": ratsoft company!!! "RatSoft.821,828": death you!!!!!! ratsoft co

Rattler.1536

Очень опасный резидентный полиморфик -вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при обращении к ним. В зависимости от текущей даты стирает сектора дисков. Содержит строку:

This is RATTLER v2.0. Read the Infected Voice!

Raubkopie.2219

Нерезидентный очень опасный вирус, поражает .COM- и EXE-файлы. В 13-ю пятницу стирает сектора на диске. Выводит на экран тексты:

A C H T U N G ------------------------- Die Benutzung einer RAUBKOPIE ist strafbar! Nur wer Original-Disketten, HandbБcher, oder PD-Lizenzen besitzt, darf Kopien verwenden. Programmierung ist mБhevolle Detailarbeit: Wer Raubkopien verwendet, betrБgt Programmierer um den Lohn ihrer Arbeit.

   -------------------------

Bist Du sauber ? (J/N) Ich will glauben, was Du sagst ..... CPU-ID wird gespeichert....

Rauser, семейство

Очень опасные резидентные вирусы. Перехватывают INT 21h и при запуске .COM-файлов записываются вместо них. При запуске .EXE-файлов создают компаньон -файлы с расширением COM.

"Rauser.250,253" выводят текст:

Maaike I Love You !

RavenSys.1324

Неопасный резидентный вирус. Записывается в конец SYS-файлов (системных драйверов DOS). Модифицирует заголовок драйвера таким образом, что код вируса оказывается вторым драйвером в одном файле. Заголовок драйвер-вируса содержит текст: "RAVEN00X". При загрузке зараженного драйвера вирус перехватывает INT 21h и при запуске COM- и EXE- файлов ищет SYS-файлы и заражает их.

Вирус остается в памяти двумя способам в зависимости от системных условий. В первом случае вирус остается в памяти там же, куда был загружен DOS'ом, ждет DOS-вызова ChangeMem (AH=4Ah), выделяет себе новый блок памяти и копирует туда свой код. Во втором случае вирус сохраняет свой код на первом треке винчестера, копирует 90 байт своего кода в таблицу векторов прерываний, устанавливает туда INT 21h, затем (как и в первом случае) ждет вызова ChangeMem, выделяет себе блок памяти и считывает с диска свой код.

При инсталляции вирус выводит текст:

+-+---0-0 0 0 Raven Sys Infector 1.0 0 0 0----+-+ +-+-----------------------------------------------------------------+-+ |-|-+ Created By Stone Shadow +-:-| |-:-+ Copyright (c) 1995 - 96 By COEAC Viral System Development. +-|-| +-+-----------------------------------------------------------------+-+ +-+--- 00 0 0 Creatures Of Electronic Anti Christ 0 0 00 ---+-+

Raving.2300

Очень опасный нерезидентный вирус. При запуске ищет .COM-файлы и записывается вместо них. Выводит сообщение:

I DON'T THINK YOU WOULD LIKE TO SMILE, BECAUSE I HAVE INFECTED A FILE!!! HAVE YOU HEARD OF A RAVING VIRUS MC, YES YOU GUESSED IT THAT IS ME!!! YOU WONT SEE ANOTHER RHYME UNTIL IT IS INFECTING TIME!!!

Rawal.1378

Неопасный нерезидентный вирус. При запуске ищет командный процессор (COMMAND.COM), затем .COM-файлы и записывается в их конец. В июле расшифровывает и выводит текст:

B I O - D A T A NAME : SANJAY RAWAL DOB : 24/11/1967 ADDRESS : 96, SATYA NIKETAN, NEW DELHI - 21 TELE : 675557 QUALS. : DIP. ELECTRICAL, SEC-A DIP. I.E.T.E.,POST DIP. : COMPUTER APPLICATIONS, SHORT COURSE FROM A.T.I.E.P.I. EXPRNCE : DBASE III+,CLIPPER,FOXPRO,ASSEMBLY 85/88, QBASIC,TURBO C : SINCE JAN. 1990 A N Y V A C A N C Y ????

Содержит также строки:


*.com

COMSPEC=

S A N

Raimon.994

Очень опасный нерезидентный зашифрованный вирус. Записывается вместо всех файлов в текущем каталоге. Содержит/выводит строки:

*.* .. By RiKkY moUsE

Presenting the St00pid Raymond Lau Virus V1.0DUHH -=>Mocking Raymon Lau to all<=- >Mock mOck moCk mocK< Quoting a chat between Raymonnd and Anon RL-> There is no such thing accomputer as a computer virus! Anon-> I think that 112MB of my hard drive might disagree with you there RL-> Oh yes like I believe you wrote a 112MB virus! And 2 or 3 things that won RL the prestigious FIDO IDIOT award! How did you know Im still a Virgin? Will you be my friend? Everybdy knows that you dont put healthy computer next to one sick with computer virus and make healthy computer sick too! Please guide me through this darkness to see the light even though I wont listen to you?

Rb91.899

Очень опасный нерезидентный самошифрующийся вирус. Ищет .COM-файлы и записывается в их конец. Содержит строку: "Virus0 EMO *.com *.* RB91". В апреле форматирует сектора дисков. Нерезидентен, но оставляет маленькую резидентную программу, которая перехватывает INT 8 (таймер) и периодически вызывает INT 9 и INT 0Eh.

Rch, семейство

Неопасные резидентные полиморфик -вирусы. Перехватывают INT 9, 21h и записываются в конец COM- и EXE-файлов при их запуске или открытии. "Rch.1217" уничтожает антивирусные файлы данных CHKLIST.MS и SMARTCHK.CPS. 20-го мая вирусы записывают в буффер клавиатуры текст:

"Just a joke,Don't mind!"---Rch

RDA.Fighter, семейство

Очень опасные резидентные полиморфик -вирусы. Трассируют и перехватывают INT 21h, затем записываются в конец COM- и EXE-файлов при их запуске, открытии или переименовании. При заражении файлов дополнительно шифруют часть тела заражаемых файлов.

"RDA.Fighter.7408" - файлово-загрузочный вирус. При запуске зараженного файла записывается в MBR винчестера. При загрузке с пораженного диска перехватывает INT 8, ждет загрузки DOS и перехватывает INT 21h. Весьма "полиморфичен": при заражении файлов генерирует и записывает в них последовательность вложенных циклов расшифровки. Все циклы состоят из полиморфик-кода, а всего циклов может быть до 16. При запуске зараженного файла первый цикл расшифровывает все остальные циклы и тело вируса и передает управление второму циклу, второй цикл расшифровывает оставшиеся циклы и т.д. Таким образом, тело вируса в файлах может быть зашифровано до 16 раз.

Вирусы используют алгоритм восстановления ошибок, что позволяет им исправлять изменения в своем теле. Под отладчиком стирают сектора дисков.

Содержат строки:

"RDA.Fighter.5871": RandomDecodingAlgoritm 1.0 "Stealth Fighter PART I" devoted MSU!

"RDA.Fighter.5969": RandomDecodingAlgoritm 1.1 "Stealth Fighter PART I (1.1) for ALL."

"RDA.Fighter.7408": "RandomDecodingAlgoritm 2.0" "PhantomPolymorphicMultiLayerEngine 1.2" "Stealth Fighter 2.0 : New Aggression."

"RDA.Fighter.7408" выводит последнюю строку на экран.

После инсталляции в оперативную память вирусы восстанавливают (в оперативной памяти) код программы-хозяина. При этом они используют данные ("данные лечения"), которые были сохранены в теле вируса при заражении файла - первые 1Ah байт файла, адрес и длину зашифрованного участка файла и т.д. Самой интересной особенностью этих вирусов является тот факт, что "данные лечения" остаются зашифрованными после того, как отработал основной расшифровщик, однако в теле вируса отсутствует в явном виде код расшифровщика этих данных.

При заражении файлов вирус дополнительно к основному полиморфик-шифровщику шифрует "данные лечения" случайно выбранным методом: в коде шифровщика "данных лечения" присутствует до 16 команд, которые случайным образом выбираются из 16 вариантов (XOR, SUB, ADD, ROL, ROR, NEG и т.д.). Всего возможно 65535 (FFFFh) вариантов шифровщика. При заражении файла вирус шифрует "данные лечения" таким способом, но не сохраняет код соответствующего расшифровщика.

Для расшифровки "данных лечения" вирус случайным образом набирает расшифровщик (из тех же 16 команд), пытается расшифровать "данные лечения", подсчитывает и сравнивает CRC-сумму. Если расшифровка неудачна (не совпала CRC-сумма), вирус генерирует следующий вариант расшифровщика, и так до тех пор, пока "данные лечения" не окажутся расшифрованными.

Realize.498

Безобидный нерезидентный вирус. При запуске ищет .COM-файлы и записывается в их начало. Содержит строку:

WHAT? I gotta die before you [realiZe] I was a nigga with open eyes.Dont you hear the guns you stupid, dumb,dicksuckin, bum politicians![realiZe] - THE LOST FREEDOM / SWEDEN

Rebel.1509

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске или открытии. Уничтожает файлы CHKLIST.MS, CHKLIST.CPS, SMARTCHK.CPS. 16-го апреля расшифровывает и выводит текст:


               Happy Birthday KAORI!

Dedicato a tutte le meravigliose ragazze giapponesi

    (C) BitLabs (The RebelBase) 1993, N. Italy.

Reboot.715

Нерезидентный опасный вирус. При старте обходит каталоги и записываются в конец .COM-файлов (в начало файла записывается команды MOV AX,FFF0h; JMP Loc_Virus). В зависимости от системного времени перезагружает компьютер.

RedArc, семейство

Опасные нерезидентные зашифрованные вирусы. При запуске ищут COM-файлы в текущем каталоге и записываются в их конец. Используют настолько необычные антиотладочные приемы, что иногда вешают компьютер. Некоторые из них также содержат ошибки и портят короткие COM-файлы.

В зависимости от системного таймера "RedArc.623,665" проявляются видеоэффектом. Содержат строки:


"RedArc.390,415":  DrWeb - горбуха!

                   RedArc // [TAVC]

"RedArc.600":      RedArc // [TAVC]

"RedArc.623":      -=* Red Arc *=-

"RedArc.1000":

Звон гитары надорвался И затих, замолк навечно. Смех тревогою раздался, Словно все бесчеловечно! Вирус DemoFraud by RedArc // [TAVC] SGWW, DVC, FotD, SOS group, TAVC, CiD

Демонстрации вирусных эффектов:

REDARC.COM